在 Windows 2008(和 R2)中,我应该重命名管理员帐户还是禁用它并创建一个新的帐户?
禁用内置管理员帐户是否会导致任何问题?这仍然被视为最佳做法吗?
答案1
常见的做法是重命名帐户。
答案2
TechNet 和 MS Press 的“保护 Windows Server 2008 R2”中介绍了 Microsoft 最佳实践
1. 不要重命名。
您将浪费您的精力,并且(为了向后兼容)如果您的网络上有任何应用程序/服务需要管理员帐户才能运行,它们就会崩溃。
2. 禁用 BUILTIN\Administrator。
重命名帐户来为攻击者创建蜜罐是一种过时的做法。任何能够深入到您网络的黑客都已经知道这个伎俩。黑客只会寻找以 -500 结尾的 SID。
3. 创建一个具有非描述性名称的帐户并赋予其管理员权限。
也就是说,将帐户命名为“JohnBlack”或“BettyClark”。不要将帐户命名为 Superman、Root、Skywalker 或任何带有 Admin 或 ADM 的名称,如 testadm 或 LocalAdmin。仍然按名称查找管理员帐户的程序已经发展到足以检查这些名称。
4. 在步骤 3 中创建帐户后,切勿使用它!
如果您将其用作常规帐户,则无法审核管理员访问权限(除了不使用它的所有其他原因之外)。
答案3
重命名帐户是最好的选择,因为您将需要某种本地管理员帐户,并且随附的帐户已经设置并配置好了以运行系统。出于安全考虑,重命名基本上会将其变成另一个帐户。
答案4
williamtorres 的答案似乎是正确的。鉴于这是禁用管理员帐户的命令(因此您不必查找它:)
网络用户管理员/active:no
http://technet.microsoft.com/en-us/library/dd744293(v=ws.10).aspx